防火墙安全策略变更验证方法及装置与流程

1.本技术涉及网络安全防护领域，也可用于金融领域，具体涉及一种防火墙安全策略变更验证方法及装置。


背景技术：

2.防火墙作为一种常见的网络安全防护技术，一般在数据中心网络中会大量部署。数据中心网络一般会按照功能和数据敏感程度不同划分为不同的区域，网络区域之间大量部署的软硬件防火墙设备成为抵御内外部网络攻击的一道安全屏障，有效降低非授权访问、数据泄露和恶意攻击等安全风险。随着数据中心网络和防火墙部署规模逐渐扩大，业务系统的网络访问日趋复杂，同时伴随新应用的投产上线、业务应用和系统平台的迁移改造，防火墙安全策略管理成为运维人员面临的一大痛点。
3.当前防火墙安全策略变更后验证主要以输入查询命令，将输出结果与安全策略变更内容来比对校验，大致经过如下步骤：
4.1、登录对应的防火墙设备(或管理平台)。
5.2、输入查询防火墙安全策略命令验证其中各个对象(包括地址对象、服务对象、执行动作、开通时间等)是否与防火墙安全策略变更内容是否一致。
6.3、如验证防火墙安全策略与防火墙安全策略变更内容一致，则防火墙安全策略变更成功，否则防火墙安全策略变更失败，人工再次执行对应防火墙安全策略变更内容并再次验证。
7.发明人发现，现有技术方案中人工操作和判断内容较多，另外因数据中心关键网络设备异构要求，防火墙品牌和软件平台差异所带来的验证输出结果差异巨大，人工操作很容易出现疏漏和错误，且人工验证效率低下。


技术实现要素：

8.针对现有技术中的问题，本技术提供一种防火墙安全策略变更验证方法及装置，能够自动、准确和高效得对防火墙安全策略的变更进行验证。
9.为了解决上述问题中的至少一个，本技术提供以下技术方案：
10.第一方面，本技术提供一种防火墙安全策略变更验证方法，包括：
11.监测防火墙安全策略变更信息，并根据所述防火墙安全策略变更信息中的防火墙类型和配置方式执行相应的防火墙安全策略变更操作；
12.根据所述防火墙安全策略变更信息获取对应的原始防火墙安全策略，并根据所述原始防火墙安全策略和所述防火墙安全策略变更信息进行关联对象对比验证；
13.若所述关联对象对比验证通过，则判定所述防火墙安全策略变更操作成功，否则反馈所述防火墙安全策略变更操作失败。
14.进一步地，所述监测防火墙安全策略变更信息，包括：
15.对监测到的防火墙安全策略变更信息中的各变更步骤添加硬件设备标签和版本
信息标签。
16.进一步地，所述根据所述防火墙安全策略变更信息中的防火墙类型和配置方式执行相应的防火墙安全策略变更操作，包括：
17.若所述防火墙安全策略变更信息中的防火墙类型为硬件防火墙，则根据所述硬件设备标签和版本信息标签调用对应的设备配置接口执行相应的防火墙安全策略变更操作；
18.若所述防火墙安全策略变更信息中的防火墙类型为软件防火墙，则调用与所述各变更步骤对应的软件程序接口执行相应的防火墙安全策略变更操作。
19.进一步地，所述根据所述防火墙安全策略变更信息获取对应的原始防火墙安全策略，并根据所述原始防火墙安全策略和所述防火墙安全策略变更信息进行关联对象对比验证，包括：
20.调用与所述防火墙安全策略变更信息相应的软硬件防火墙查询接口获取对应的原始防火墙安全策略；
21.判断所述原始防火墙安全策略中的关联对象与所述防火墙安全策略变更信息中的关联对象是否一致。
22.进一步地，所述若所述关联对象对比验证通过，则判定所述防火墙安全策略变更操作成功，否则反馈所述防火墙安全策略变更操作失败，包括：
23.所述原始防火墙安全策略中的关联对象与所述防火墙安全策略变更信息中的关联对象一致，则判定所述防火墙安全策略变更操作成功；
24.否则判定关联对象对比验证不通过，重新执行防火墙安全策略变更操作，并在完成防火墙安全策略变更操作后重新进行关联对象对比验证，在连续两次关联对象对比验证不通过时反馈所述防火墙安全策略变更操作失败。
25.进一步地，所述若所述关联对象对比验证通过，则判定所述防火墙安全策略变更操作成功，否则反馈所述防火墙安全策略变更操作失败，还包括：
26.采集记录防火墙安全策略变更操作的操作执行日志和变更操作结果，并将所述操作执行日志和所述变更操作结果发送至运维端。
27.第二方面，本技术提供一种防火墙安全策略变更验证装置，包括：
28.策略变更执行模块，用于监测防火墙安全策略变更信息，并根据所述防火墙安全策略变更信息中的防火墙类型和配置方式执行相应的防火墙安全策略变更操作；
29.对比验证模块，用于根据所述防火墙安全策略变更信息获取对应的原始防火墙安全策略，并根据所述原始防火墙安全策略和所述防火墙安全策略变更信息进行关联对象对比验证；
30.验证结果模块，用于若所述关联对象对比验证通过，则判定所述防火墙安全策略变更操作成功，否则反馈所述防火墙安全策略变更操作失败。
31.第三方面，本技术提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的防火墙安全策略变更验证方法的步骤。
32.第四方面，本技术提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现所述的防火墙安全策略变更验证方法的步骤。
33.第五方面，本技术提供一种计算机程序产品，包括计算机程序/指令，该计算机程
序/指令被处理器执行时实现所述的防火墙安全策略变更验证方法的步骤。
34.由上述技术方案可知，本技术提供一种防火墙安全策略变更验证方法及装置，通过监测不同的防火墙安全策略变更信息，准确执行相应的防火墙安全策略变更操作，并结合原始防火墙安全策略对变更操作进行关联对象的对比验证，并据此判定本次变更操作的成功，由此能够自动、准确和高效得对防火墙安全策略的变更进行验证。
附图说明
35.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
36.图1为本技术实施例中的防火墙安全策略变更验证方法的流程示意图之一；
37.图2为本技术实施例中的防火墙安全策略变更验证方法的流程示意图之二；
38.图3为本技术实施例中的防火墙安全策略变更验证方法的流程示意图之三；
39.图4为本技术实施例中的防火墙安全策略变更验证方法的流程示意图之四；
40.图5为本技术实施例中的防火墙安全策略变更验证装置的结构图；
41.图6为本技术实施例中的电子设备的结构示意图。
具体实施方式
42.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
43.考虑到现有技术方案中人工操作和判断内容较多，另外因数据中心关键网络设备异构要求，防火墙品牌和软件平台差异所带来的验证输出结果差异巨大，人工操作很容易出现疏漏和错误，且人工验证效率低下的问题，本技术提供一种防火墙安全策略变更验证方法及装置，通过监测不同的防火墙安全策略变更信息，准确执行相应的防火墙安全策略变更操作，并结合原始防火墙安全策略对变更操作进行关联对象的对比验证，并据此判定本次变更操作的成功识别，由此能够自动、准确和高效得对防火墙安全策略的变更进行验证。
44.为了能够自动、准确和高效得对防火墙安全策略的变更进行验证，本技术提供一种防火墙安全策略变更验证方法的实施例，参见图1，所述防火墙安全策略变更验证方法具体包含有如下内容：
45.步骤s101：监测防火墙安全策略变更信息，并根据所述防火墙安全策略变更信息中的防火墙类型和配置方式执行相应的防火墙安全策略变更操作。
46.可选的，本技术可以通过多种现有技术渠道(包括自动化工具生成、人工编写)监测、识别、采集不同平台的软硬件防火墙的安全策略变更信息，其中，所述安全策略变更信息包含有本次防火墙安全策略的各个变更步骤。
47.可选的，本技术可以对监测到的防火墙安全策略变更信息中的各变更步骤添加标
签，其中，软件防火墙的标签可以用于标识不同的变更步骤，而硬件防火墙可以更多的添加硬件设备标签和版本信息标签，通过添加标签，有利于后续执行变更操作时的针对性和准确性。
48.可选的，根据防火墙安全策略变更信息中防火墙类型的不同(软件防火墙或硬件防火墙)，本技术可以进一步结合上述标签以确定具体的配置方式，从而准确执行相应的防火墙安全策略变更操作。
49.具体的，若防火墙类型为硬件防火墙，则本技术可以根据所述硬件设备标签和版本信息标签调用对应的设备配置接口执行相应的防火墙安全策略变更操作。
50.若防火墙类型为软件防火墙，则本技术可以通过restful api调用与所述各变更步骤对应的软件程序接口执行相应的防火墙安全策略变更操作。
51.步骤s102：根据所述防火墙安全策略变更信息获取对应的原始防火墙安全策略，并根据所述原始防火墙安全策略和所述防火墙安全策略变更信息进行关联对象对比验证。
52.可选的，本技术可以根据所述防火墙安全策略变更信息获取对应的原始防火墙安全策略，即变更前该防火墙的原始防火墙安全策略，可以理解的是，原始防火墙安全策略中包含有原始的关联对象，所述关联对象包括但不限于：地址对象、服务对象、执行动作、开通时间，所述关联对象也可以包含其他与防火墙配置相关的参数。
53.可选的，本技术可以通过原始防火墙安全策略和防火墙安全策略变更信息的关联对象的对比验证，以确定变更操作前后关联对象是否发生异变，从而判定本次变更操作是否成功。
54.可选的，本技术可以通过调用软硬件防火墙查询接口查询相关防火墙的原始安全策略及其关联对象。
55.步骤s103：若所述关联对象对比验证通过，则判定所述防火墙安全策略变更操作成功，否则反馈所述防火墙安全策略变更操作失败。
56.从上述描述可知，本技术实施例提供的防火墙安全策略变更验证方法，能够通过监测不同的防火墙安全策略变更信息，准确执行相应的防火墙安全策略变更操作，并结合原始防火墙安全策略对变更操作进行关联对象的对比验证，并据此判定本次变更操作的成功识别，由此能够自动、准确和高效得对防火墙安全策略的变更进行验证。
57.为了能够便于对不同的防火墙进行安全策略变更操作，在本技术的防火墙安全策略变更验证方法的一实施例中，上述步骤s101还可以具体包含如下内容：
58.对监测到的防火墙安全策略变更信息中的各变更步骤添加硬件设备标签和版本信息标签。
59.可选的，本技术可以对监测到的防火墙安全策略变更信息中的各变更步骤添加标签，其中，软件防火墙的标签可以用于标识不同的变更步骤，而硬件防火墙可以更多的添加硬件设备标签和版本信息标签，通过添加标签，有利于后续执行变更操作时的针对性和准确性。
60.为了能够准确对不同的防火墙进行安全策略变更操作，在本技术的防火墙安全策略变更验证方法的一实施例中，参见图2，上述步骤s101还可以具体包含如下内容：
61.步骤s201：若所述防火墙安全策略变更信息中的防火墙类型为硬件防火墙，则根据所述硬件设备标签和版本信息标签调用对应的设备配置接口执行相应的防火墙安全策
略变更操作。
62.步骤s202：若所述防火墙安全策略变更信息中的防火墙类型为软件防火墙，则调用与所述各变更步骤对应的软件程序接口执行相应的防火墙安全策略变更操作。
63.可选的，根据防火墙安全策略变更信息中防火墙类型的不同(软件防火墙或硬件防火墙)，本技术可以进一步结合上述标签以确定具体的配置方式，从而准确执行相应的防火墙安全策略变更操作。
64.具体的，若防火墙类型为硬件防火墙，则本技术可以根据所述硬件设备标签和版本信息标签调用对应的设备配置接口执行相应的防火墙安全策略变更操作。
65.若防火墙类型为软件防火墙，则本技术可以通过restful api调用与所述各变更步骤对应的软件程序接口执行相应的防火墙安全策略变更操作。
66.为了能够准确验证变更操作的准确性，在本技术的防火墙安全策略变更验证方法的一实施例中，参见图3，上述步骤s102还可以具体包含如下内容：
67.步骤s301：调用与所述防火墙安全策略变更信息相应的软硬件防火墙查询接口获取对应的原始防火墙安全策略。
68.步骤s302：判断所述原始防火墙安全策略中的关联对象与所述防火墙安全策略变更信息中的关联对象是否一致。
69.可选的，本技术可以通过调用软硬件防火墙查询接口查询相关防火墙的原始安全策略及其关联对象。
70.可选的，本技术可以通过原始防火墙安全策略和防火墙安全策略变更信息的关联对象的对比验证(即是否前后一致)，以确定变更操作前后关联对象是否发生异变，从而判定本次变更操作是否成功。
71.为了能够使对比验证结果更加准确，在本技术的防火墙安全策略变更验证方法的一实施例中，参见图4，上述步骤s103还可以具体包含如下内容：
72.步骤s401：所述原始防火墙安全策略中的关联对象与所述防火墙安全策略变更信息中的关联对象一致，则判定所述防火墙安全策略变更操作成功。
73.步骤s402：否则判定关联对象对比验证不通过，重新执行防火墙安全策略变更操作，并在完成防火墙安全策略变更操作后重新进行关联对象对比验证，在连续两次关联对象对比验证不通过时反馈所述防火墙安全策略变更操作失败。
74.可选的，如关联对象比对验证结果表明防火墙安全策略变更前后各关联对象一致，则判定所述防火墙安全策略变更操作成功，并可以将防火墙安全策略变更实施成功的结果进行日志采集；如关联对象比对验证结果表明防火墙安全策略变更前后各关联对象不一致，则可以再次验证，如再次验证仍不一致，则判定防火墙安全策略变更操作失败并反馈失败信号或进行日志采集。
75.为了能够提高运维效率，在本技术的防火墙安全策略变更验证方法的一实施例中，上述步骤s103还可以具体包含如下内容：
76.采集记录防火墙安全策略变更操作的操作执行日志和变更操作结果，并将所述操作执行日志和所述变更操作结果发送至运维端。
77.可以理解的是，由此对于运维人员排查防火墙安全策略变更失败原因提供重要的技术参考，提升了运维效率，降低了数据中心的运维成本。
78.为了能够自动、准确和高效得对防火墙安全策略的变更进行验证，本技术提供一种用于实现所述防火墙安全策略变更验证方法的全部或部分内容的防火墙安全策略变更验证装置的实施例，参见图5，所述防火墙安全策略变更验证装置具体包含有如下内容：
79.策略变更执行模块10，用于监测防火墙安全策略变更信息，并根据所述防火墙安全策略变更信息中的防火墙类型和配置方式执行相应的防火墙安全策略变更操作。
80.对比验证模块20，用于根据所述防火墙安全策略变更信息获取对应的原始防火墙安全策略，并根据所述原始防火墙安全策略和所述防火墙安全策略变更信息进行关联对象对比验证。
81.验证结果模块30，用于若所述关联对象对比验证通过，则判定所述防火墙安全策略变更操作成功，否则反馈所述防火墙安全策略变更操作失败。
82.从上述描述可知，本技术实施例提供的防火墙安全策略变更验证装置，能够通过监测不同的防火墙安全策略变更信息，准确执行相应的防火墙安全策略变更操作，并结合原始防火墙安全策略对变更操作进行关联对象的对比验证，并据此判定本次变更操作的成功识别，由此能够自动、准确和高效得对防火墙安全策略的变更进行验证。
83.从硬件层面来说，为了能够自动、准确和高效得对防火墙安全策略的变更进行验证，本技术提供一种用于实现所述防火墙安全策略变更验证方法中的全部或部分内容的电子设备的实施例，所述电子设备具体包含有如下内容：
84.处理器(processor)、存储器(memory)、通信接口(communications interface)和总线；其中，所述处理器、存储器、通信接口通过所述总线完成相互间的通信；所述通信接口用于实现防火墙安全策略变更验证装置与核心业务系统、用户终端以及相关数据库等相关设备之间的信息传输；该逻辑控制器可以是台式计算机、平板电脑及移动终端等，本实施例不限于此。在本实施例中，该逻辑控制器可以参照实施例中的防火墙安全策略变更验证方法的实施例，以及防火墙安全策略变更验证装置的实施例进行实施，其内容被合并于此，重复之处不再赘述。
85.可以理解的是，所述用户终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、台式电脑、个人数字助理(pda)、车载设备、智能穿戴设备等。其中，所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
86.在实际应用中，防火墙安全策略变更验证方法的部分可以在如上述内容所述的电子设备侧执行，也可以所有的操作都在所述客户端设备中完成。具体可以根据所述客户端设备的处理能力，以及用户使用场景的限制等进行选择。本技术对此不作限定。若所有的操作都在所述客户端设备中完成，所述客户端设备还可以包括处理器。
87.上述的客户端设备可以具有通信模块(即通信单元)，可以与远程的服务器进行通信连接，实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器，其他的实施场景中也可以包括中间平台的服务器，例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备，也可以包括多个服务器组成的服务器集群，或者分布式装置的服务器结构。
88.图6为本技术实施例的电子设备9600的系统构成的示意框图。如图6所示，该电子设备9600可以包括中央处理器9100和存储器9140；存储器9140耦合到中央处理器9100。值得注意的是，该图6是示例性的；还可以使用其他类型的结构，来补充或代替该结构，以实现
电信功能或其他功能。
89.一实施例中，防火墙安全策略变更验证方法功能可以被集成到中央处理器9100中。其中，中央处理器9100可以被配置为进行如下控制：
90.步骤s101：监测防火墙安全策略变更信息，并根据所述防火墙安全策略变更信息中的防火墙类型和配置方式执行相应的防火墙安全策略变更操作。
91.步骤s102：根据所述防火墙安全策略变更信息获取对应的原始防火墙安全策略，并根据所述原始防火墙安全策略和所述防火墙安全策略变更信息进行关联对象对比验证。
92.步骤s103：若所述关联对象对比验证通过，则判定所述防火墙安全策略变更操作成功，否则反馈所述防火墙安全策略变更操作失败。
93.从上述描述可知，本技术实施例提供的电子设备，通过监测不同的防火墙安全策略变更信息，准确执行相应的防火墙安全策略变更操作，并结合原始防火墙安全策略对变更操作进行关联对象的对比验证，并据此判定本次变更操作的成功识别，由此能够自动、准确和高效得对防火墙安全策略的变更进行验证。
94.在另一个实施方式中，防火墙安全策略变更验证装置可以与中央处理器9100分开配置，例如可以将防火墙安全策略变更验证装置配置为与中央处理器9100连接的芯片，通过中央处理器的控制来实现防火墙安全策略变更验证方法功能。
95.如图6所示，该电子设备9600还可以包括：通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是，电子设备9600也并不是必须要包括图6中所示的所有部件；此外，电子设备9600还可以包括图6中没有示出的部件，可以参考现有技术。
96.如图6所示，中央处理器9100有时也称为控制器或操作控件，可以包括微处理器或其他处理器装置和/或逻辑装置，该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。
97.其中，存储器9140，例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息，此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序，以实现信息存储或处理等。
98.输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为lcd显示器，但并不限于此。
99.该存储器9140可以是固态存储器，例如，只读存储器(rom)、随机存取存储器(ram)、sim卡等。还可以是这样的存储器，其即使在断电时也保存信息，可被选择性地擦除且设有更多数据，该存储器的示例有时被称为eprom等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142，该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。
100.存储器9140还可以包括数据存储部9143，该数据存储部9143用于存储数据，例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
101.通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100，以提供输入信号和接收输出信号，这可以和常规移动通信终端的情况相同。
102.基于不同的通信技术，在同一电子设备中，可以设置有多个通信模块9110，如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132，以经由扬声器9131提供音频输出，并接收来自麦克风9132的音频输入，从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外，音频处理器9130还耦合到中央处理器9100，从而使得可以通过麦克风9132能够在本机上录音，且使得可以通过扬声器9131来播放本机上存储的声音。
103.本技术的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的防火墙安全策略变更验证方法中全部步骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的防火墙安全策略变更验证方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：
104.步骤s101：监测防火墙安全策略变更信息，并根据所述防火墙安全策略变更信息中的防火墙类型和配置方式执行相应的防火墙安全策略变更操作。
105.步骤s102：根据所述防火墙安全策略变更信息获取对应的原始防火墙安全策略，并根据所述原始防火墙安全策略和所述防火墙安全策略变更信息进行关联对象对比验证。
106.步骤s103：若所述关联对象对比验证通过，则判定所述防火墙安全策略变更操作成功，否则反馈所述防火墙安全策略变更操作失败。
107.从上述描述可知，本技术实施例提供的计算机可读存储介质，通过监测不同的防火墙安全策略变更信息，准确执行相应的防火墙安全策略变更操作，并结合原始防火墙安全策略对变更操作进行关联对象的对比验证，并据此判定本次变更操作的成功识别，由此能够自动、准确和高效得对防火墙安全策略的变更进行验证。
108.本技术的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的防火墙安全策略变更验证方法中全部步骤的一种计算机程序产品，该计算机程序/指令被处理器执行时实现所述的防火墙安全策略变更验证方法的步骤，例如，所述计算机程序/指令实现下述步骤：
109.步骤s101：监测防火墙安全策略变更信息，并根据所述防火墙安全策略变更信息中的防火墙类型和配置方式执行相应的防火墙安全策略变更操作。
110.步骤s102：根据所述防火墙安全策略变更信息获取对应的原始防火墙安全策略，并根据所述原始防火墙安全策略和所述防火墙安全策略变更信息进行关联对象对比验证。
111.步骤s103：若所述关联对象对比验证通过，则判定所述防火墙安全策略变更操作成功，否则反馈所述防火墙安全策略变更操作失败。
112.从上述描述可知，本技术实施例提供的计算机程序产品，通过监测不同的防火墙安全策略变更信息，准确执行相应的防火墙安全策略变更操作，并结合原始防火墙安全策略对变更操作进行关联对象的对比验证，并据此判定本次变更操作的成功识别，由此能够自动、准确和高效得对防火墙安全策略的变更进行验证。
113.本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
114.本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
115.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
116.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
117.本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。